Como exportar uma lista de materiais de software para seu repositório

Você pode exportar uma SBOM ou uma lista de materiais de software para seu repositório por meio do grafo de dependência. As SBOMs permitem transparência no seu uso de código aberto e ajudam a expor vulnerabilidades da cadeia de fornecedores, reduzindo os riscos da cadeia de fornecedores.

Quem pode usar esse recurso?

Anyone can export the dependency graph of a repository as a software bill of materials. The SBOM export will contain a list of the dependencies that are used in the repository.

Neste artigo

Sobre as exportações de grafo de dependência e de SBOM

O gráfico de dependência é um resumo dos arquivos de manifesto e de bloqueio armazenados em um repositório e quaisquer dependências enviadas para o repositório usando API de envio de dependência (beta). Para cada repositório, ele mostra:

  • As dependências, os ecossistemas e os pacotes do qual depende
  • Os dependentes, os repositórios e os pacotes que dependem dele

Para cada dependência, você pode ver as informações de licença e a gravidade da vulnerabilidade. Você também pode pesquisar uma dependência específica usando a barra de pesquisa. As dependências são classificadas automaticamente pela gravidade da vulnerabilidade.

Exporte o estado atual do grafo de dependência para seu repositório como uma SBOM (lista de materiais de Software) usando o formato SPDX padrão do setor:

  • Por meio da interface do usuário de GitHub
  • Usando a API REST

Uma SBOM é um inventário formal e legível por computador das dependências e das informações associadas de um projeto (como versões, identificadores de pacote e licenças). As SBOMs ajudam a reduzir os riscos da cadeia de fornecedores:

  • fornecendo transparência sobre as dependências usadas pelo repositório
  • permitindo que as vulnerabilidades sejam identificadas no início do processo
  • fornecendo insights sobre problemas de conformidade, segurança ou qualidade de licença que podem existir na base de código
  • permitindo que você cumpra melhor os vários padrões de proteção de dados

Se a sua empresa fornecer um software ao governo federal dos EUA nos termos da Ordem Executiva 14028, você precisará fornecer uma SBOM para seu produto. Use também as SBOMs como parte do processo de auditoria e para cumprir os requisitos regulatórios e legais.

Como exportar uma lista de materiais de software para seu repositório na interface do usuário

  1. No GitHub.com, navegue até a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Insights.

    Captura de tela da página principal de um repositório. Na barra de navegação horizontal, uma guia, rotulada com um ícone de grafo e "Insights", é destacada em laranja escuro.

  3. Na barra lateral esquerda, clique em Grafo de dependência.

  4. No canto superior direito da guia Dependências, clique em Exportar SBOM para gerar um arquivo SBOM para download no navegador.

Como exportar uma lista de materiais de software para seu repositório usando a API REST

Se você quiser usar a API REST para exportar um SBOM para seu repositório, consulte "Pontos de extremidade da API REST para lista de materiais de software (SBOM)".